Nets: Rod-certifikat var i orden - men underliggende certifikater var ikke »funktionsdygtige«

28. juni kl. 14:409
Borger.dk-fejl
Illustration: Version2/skærmdump.
Tjeneste-nedbrud ramte flere end de tidligere nævnte 30 procent af danskerne.
Artiklen er ældre end 30 dage

Det var ikke et rod-certifikat, der var årsag til det omfattende og langvarige NemID-nedbrud i sidste uge.

Det oplyser pressechef i Nets Søren Winge i en mail til Version2.

»Der skal ikke udstedes nye rod-certifikater og det er ikke rod-certifikatet som sådan, der er årsag eller skyld i denne driftsforstyrrelse. Årsagen var snarere et funktionelt svigt/driftsforstyrrelse, som betød at validering af brugerne blev berørt,« skriver pressechefen i en mail.

I den pressemeddelelse Nets udsendte i fredags, skrev firmaet dog ellers:

Artiklen fortsætter efter annoncen

»Vi vil vi over de kommende dage genudstede nye rod-certifikater.«

Læs også: Nu forklarer Nets sig: Rod-certifikat står bag stort database-nedbrud

Pressechefen fortsætter i dagens mail:

»Rod-certifikatet (ICA3) var ikke en del af problemet, men det indgår  – ligesom brugerne –  i den validering, som blev berørt.«

Version2 har stillet Nets en række spørgsmål om nedbruddet.

Mange danskere blev påvirket

Overfor DR Nyheder bekræfter Nets, at flere end de 30 procent af danskerne, som umiddelbart blev ramt, har været påvirket af nedbruddet.

Det skyldes problemer med at håndtere certifikaterne hos Nets.

»Der er tjenesteudbydere, der benytter visse typer underliggende certifikater så som virksomhedscertifikater (VOCES) og funktionscertifikater (FOCES), som ikke har været fuldt funktionsdygtige i perioden,« udtaler Nets til DR Nyheder, og fortsætter:

»Nets har mere end 1.500 private og offentlige tjenester tilsluttet NemID. Hvordan den enkelte tjenesteudbyder har sat deres system op vil variere, og vi kan derfor ikke sige, hvem der præcis har været berørt af hvilke problematikker relateret til certifikater. Vores vurdering er, at det er et mindre antal af disse tjenesteudbydere, der har haft udfordringer med deres underlæggende flows/certifikater.«

Digitaliseringsstyrelsen har heller ikke overblik over, hvilke tjenester der er berørt, skriver DR.

9 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
6
29. juni kl. 11:26

Der er noget, er undrer mig - måske fordi jeg ikke ved, hvordan den slags foregår. Men jeg forestiller mig, at det vil være en selvfølge, at der straks oprettes et "Warroom" i virksomheden i en så kritisk situation. Og i mine øjne vil det også være en selvfølge, at det offentliges cybersikkerheds-vagthunde ( er det CFCS i denne situation?) har umiddelbar og direkte adgang til dette warroom, og simpelthen sidder med ved bordet.

Havde de det? Eller gælder "forretningshemmeligheder" også i denne situation? Eller har de offentlige "vagthunde" ikke ressourcer til at rykke akut ud, selv i en så alvorlig situation? I begge tilfælde er det i mine øjne uacceptabelt, og udtryk for, at digitaliseringen og privatiseringen er gået alt, alt for vidt - så vidt, at det er til fare for landet og dets borgere.

Det undrer mig i hvert fald, at Digitaliseringsstyrelsen, CFCS eller lignende ikke allerede selv har været ude med troværdige forklaringer - de burde allerede vide præcist, hvad der gik galt.

5
28. juni kl. 18:06

Jeg benytter api på Datafordeleren.dk, hvor der hentes temmeligt banale ting som f.eks. topografiske baggrundskort. Disse web-services var nede helt frem til natten mellem lørdag og søndag.

Det kan undrer, at man har valgt en så centralistisk arkitektur, at store dele infrastrukturen rammes af fejl på en server, og der tilsyneladende benyttes højeste sikkerhedsniveau for selv banale ting som ovenstående.

(Til oplysning kunne man tidligere hente ovenstående data alene ved at angive en nøgle, men nu kræves brugernavn og kodeord for hvert eneste opslag!)

8
6. juli kl. 13:49

der tilsyneladende benyttes højeste sikkerhedsniveau for selv banale ting som ovenstående.

(Til oplysning kunne man tidligere hente ovenstående data alene ved at angive en nøgle, men nu kræves brugernavn og kodeord for hvert eneste opslag!)

Datafordeler arbejder med flere forskellige sikkerhedszoner i de registre der udstilles. Topografiske baggrundskort er på ingen måder i den højeste sikkerhedszone som f.eks. CPR eller andre registre med følsomme data hvor din adgang skal godkendes af den respektive myndighed og hvor der benyttes FOCES/VOCES certifikater til authentication.

Om der som på det tidligere Kortforsyningen og nuværende dataforsyningen benyttes en API nøgle oprettet på din konto, eller der som på Datafordeler benyttes tjenestebruger og kodeord oprettet på din konto, er vel hip som hap.

9
6. juli kl. 16:36

Men det forklarer så ikke hvorfor også services i formodet lav sikkerhedszone, også blev ramt Nets-fejlen!?

2
28. juni kl. 15:23

"Årsagen var snarere et funktionelt svigt/driftsforstyrrelse, som betød at validering af brugerne blev berørt,« skriver pressechefen i en mail."

Det var da en underlig vag forklaring. Var det en "funktionelt svigt/driftsforstyrrelse, som betød at validering af brugerne blev berørt,..", eller var det ikke?

Der har nu været 3-4-5 forskellige forklaringer undervejs. Det er i sig selv meget lidt betryggende, for det giver en oplevelse af, at man enten ikke ved, hvad man laver, eller at man skjuler noget.

Hvornår får vi den sande forklaring - den, man ikke ændrer på i næste uge som følge af for mange pinlige spørgsmål?

Og hvorfor var der ikke lige en backup-løsning klar til at tage over?

1
28. juni kl. 14:53

Nets mangler at forklare, hvorfor det tager så lang tid at identificere og rette fejlen.

Der har været oceaner af reproducerbare fejl at tage fat på. Så der er ingen undskyldninger for at de ikke har kunne debugge.

Der er endda en sandsynlighed på 30% for at de kunne bruge deres egen direktørs credentials til fejlsøgningen.

Har det bygget et system, de ikke selv forstår eller kan forklare?

Er kompetencerne, der har bygget systemet, ikke længere i Nets?

Er det benhårdt kalkuleret, at en række hændelige fejltilstande let kan tage dagevis at rette?

3
28. juni kl. 15:50

Der er endda en sandsynlighed på 30% for at de kunne bruge deres egen direktørs credentials til fejlsøgningen

De er jo solgt til Norge så sandsynligheden taler for at mange medarbejdere slet ikke har NemID.

4
28. juni kl. 16:00

Nets er ejet af den amerikanske kampitalfond Hellman & Friedman.